<div dir="ltr"><div>All,</div>
<div> </div>
<div>I have VPN users who connect to a Cisco ASA firewall, which authenticates using radius off of Freeradius.  I would like to enforce which IP addresses users may connect from.  Am I correct to assume the Radius server is the best place to perform this?</div>

<div> </div>
<div>If so, what is the best way to go about doing this?  Since our users.conf is programitcally generated, hopefully the changing part of the configuration can be isolated to this file?  Below is an example login from the free-radius server.  I want to filter on "Calling-Station-Id", to enforce a specified source IP which may vary by user.</div>

<div> </div>
<div>Thanks!</div>
<div> </div>
<div> </div>
<div>rad_recv: Access-Request packet from host <a href="http://3.3.3.3:1025">3.3.3.3:1025</a>, id=177, length=157<br>        User-Name = "john"<br>        User-Password = "xxxx"<br>        NAS-Port = xxxx<br>
        Service-Type = Framed-User<br>        Framed-Protocol = PPP<br>        Called-Station-Id = "<a href="http://1.1.1.1">1.1.1.1</a>"<br>        Calling-Station-Id = "<a href="http://2.2.2.2">2.2.2.2</a>"<br>
        NAS-Port-Type = Virtual<br>        Tunnel-Client-Endpoint:0 = "<a href="http://4.4.4.4">4.4.4.4</a>"<br>        NAS-IP-Address = <a href="http://3.3.3.3">3.3.3.3</a></div>
<div>        Cisco-AVPair = "ip:source-ip=2.2.2.2N\233"<br>  Processing the authorize section of radiusd.conf</div></div>